大型体育中心Wi-Fi 系统安全设计探讨

2021-11-21蔡雄飞

智能建筑电气技术 2021年4期

蔡雄飞，肖虎，赵亮

(1. 中信建筑设计研究总院有限公司，武汉 430014； 2. 中技国际工程有限公司，武汉 430014； 3. 中建八局第二建设有限公司，济南 250014)

0 引言

随着Wi-Fi 技术的广泛应用，越来越多的公共场所都实现了无线网络覆盖。无线网络为智能化建筑提供了有效的终端连接方式，同时也对其信息安全提出来更高要求。而近年来，国家不断加大对文化体育类场馆设施的投入，高标准规划、高质量建设、高品质配套、高效率运营的精品体育场馆成为了各地建设体育场馆的核心要求。本文将以某大型体育中心为例，针对体育场馆不同场所的信息安全需求，归纳无线Wi-Fi 覆盖系统的设计原则并介绍相关技术的应用。

1 项目概况

本项目建设背景为2021 年9 月15 日开幕的第十四届全国运动会主比赛场馆，也是开、闭幕式所在地。主要建设内容包括:6 万座体育场、18 000 座体育馆、4 000 座游泳馆、室外热身场地、检录处、室外广场、绿化、道路及地下停车库。其中体育场坐席数6 万座，为大型甲级体育场，是全运会开幕式主会场及田径项目主赛场，同时满足承办亚运会赛事及田径世锦赛等单项国际赛事需求，满足赛后文艺演出、集会、全民健身的综合利用要求，是集休闲公共空间和运动功能为一体的综合型建筑。

项目总建筑面积约为108 283m2，地上5 层，屋面最高点42.36m，看台观众席最高处直径130m，主体结构形式为钢筋混凝土框架结构，基础形式为钻孔灌注桩和独立基础。体育场西看台剖面如图1所示。

图1 体育场西看台剖面图

2 无线网络安全要点

Wi-Fi 技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但其特点是以无线射频信号作为传输介质来传递业务数据，这种开放的信道使得攻击者非常容易对在信道中所传输的业务数据进行窃听、篡改。因此，网络安全性成为阻碍Wi-Fi技术发展的重要因素。

无线安全主要包括用户接入安全和业务安全两方面。前者指用户接入无线网络的合法性和安全性，包括链路认证、用户接入认证和数据加密；后者指保证用户的业务数据在传输过程中的安全性，避免合法用户的业务数据在传输过程中被非法捕获。

本体育中心网络需要对所有Wi-Fi 用户终端进行接入管控，以保证整张网络的安全，可隔离及修复不安全的终端。认证管理安全方案应能满足身份鉴别、用户授权等需求。普通的终端用户的身份鉴别应满足如下需求:(1)符合安全要求的终端提供正确的用户名和密码后，可以正常接入网络；(2)不符合安全的终端，只能接入到网络隔离区，待终端安全修复后才能接入网络；(3)不合法的用户不允许接入网络。

3 无线用户接入认证比较

用户认证通过后，需要根据终端用户的身份认证，基于用户角色来对网络访问权限进行管理，不但可以加强内网的网络访问控制，也可以防止非法接入和非授权访问，保证整张网络的安全。设计中应针对不同用户(运动员、裁判员、组委会官员、转播机构成员、场馆运维人员、文艺演出人员和观众等)选择不同类型的认证方式。

常用的接入认证方式有MAC 认证、802.1X 认证、Portal 认证(Web 认证)、微信认证等。其中，MAC 认证、802.1X 认证、Portal 认证对比如表1所示。

认证方法对比表表1

综合本体育场馆的实际应用场景，无线网络统一般采用MAC 优先Portal 和微信的组合认证方式进行用户终端的准入控制。

系统应监控网络中存在的非法设备、非法客户端、干扰源、攻击信息，支持用户通过定义规则分类识别、远程告警通知并提供对入侵的保护措施。安全体系支持非法设备的统计、展示和反制；支持非法客户端的展示、反制和抑制接入保护；支持非Wi-Fi 干扰源的统计和展示；支持攻击信息的统计、展示和保护:支持用户通过定义规则对非法AP 进行分类(类别分为非法、疑似非法、邻居、疑似邻居、干扰；支持的规则匹配指标为:邻频同频干扰、信号强度、 SSID(模糊匹配/正则表达式匹配)、探测AP 数量、是否被攻击等)。

4 无线网络业务安全策略

根据《国家信息化领导小组关于加强信息安全保障工作的意见》和公安部、国家保密局、国家密码管理局、国务院信息化工作办公室工作指示，要求应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

本项目的安全需求主要从以下几个方面来考虑:(1)AP 分布在室外不同区域，应考虑防风、防雨、防盗窃、防破坏、防雷击、以及电力供应；(2)AP应当具备高密覆盖能力，要求支持小角度内置天线，避免同频干扰；(3)网络交换设备和系统服务器存储设备应该部署在专业机房或管井内，应考虑防震、防风、防雨、防静电等措施；(4)网络需保证接入网络、汇聚网络、核心网络的网络带宽能够满足本系统大数据的并发需要；(5)网络拓扑结构需满足当前网络环境，并能够满足万兆网络的数据交换能力；(6)网络的边界应该部署访问控制设备，有明确的访问控制规则；(7)网络系统应该具备安全审计，对网络运行状况、流量、用户日志进行记录；(8)网络应具备防病毒系统，防止网络病毒传播。

按照GB/T 22240－2020 的要求，本项目信息系统安全保护等级按照第三级进行安全防护方案设计。根据GB/T 22239－2019 及GB/T 25070－2019第8 章，对第三级防护的要求，将保护对象进行区域划分，对不同的保护对象保护环境按照安全计算环境、安全区域边界、安全通信网络和安全管理中心进行设计。围绕“一个中心”管理下的“三重防护”体系设计思想，无线Wi-Fi 系统各部分设计列表如表2 所示。

系统应该对登陆操作系统和数据库用户的身份进行鉴别和区分，应启用访问控制功能，依据安全策略控制用户对资源的访问；对服务器上的每个操作系统用户和数据库用户进行审计，操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

应提供专用的登陆控制模块对用户身份鉴别，提供唯一的用户身份，应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问，对覆盖的每个用户进行审计，审计记录应包括日期、时间、发起者信息、类型、描述和结果数据在记录和网络传输过程应该完整，数据应加密，存储系统应有数据安全机制如、热备盘、设备N＋1 热备。

网络安全防护设计表2

4.1 系统功能

Wi-Fi 系统承载场馆的无线Wi-Fi 网络，担负着提供体育中心园区内所有人员的无缝网络接入，网络要求带宽高、低延时、无瓶颈。 Wi-Fi 网接入互联网，认证、防火墙、网关等安全系统要求高效可靠。

4.2 网络架构

Wi-Fi 采用成熟可靠的三层网络架构，采用层次化模型设计，分别为核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将无线AP 设备接入网络)，核心层同时上行接入出口网络安全设备。图2 所示为网络架构图。

图2 Wi-Fi 网络架构图

Wi-Fi 网采用有线“万兆到桌面，40G 到核心”的带宽设计；无线网络部署最新一代的802.11ax 协议标准的无线接入点AP，AP 上行带宽支持高带宽，以充分满足无线Wi-Fi 网络的接入带宽需求。出口网络部署防火墙、上网行为管理等安全设备，由于防火墙采用高端防火墙(远高于技术规格要求)，能够提供丰富的路由功能，因此取消原有路由器，在减少网络管理节点的同时提高了转发效率。运维、控制管理系统旁挂在核心交换机上，对Wi-Fi 网进行安全管理、网络运维、策略管控等。

考虑当前无线技术发展，独立无线控制器AC或插卡式AC 的转发性能仅局限在40G，不能满足本次实际项目高并发的无线网络流量冲击，因此本次网络设计中把AC 集成到核心交换机的业务板卡上，提供单槽位4Tbps 的高速无线转发性能。在网络架构上实现了有线无线的融合管理、融合转发，减少了网络节点，同时核心交换机的相关业务板卡均支持AC 功能，实现了AC 的1＋N 热备，保障无线管理的高可靠性。 AC 统一管理公共网的所有AP，并对无线用户进行统一认证管理。

此外，考虑到当前体育中心总体预计人流量约8 万人次(不含工作人员)，而传统AC 的认证模式下的最大可接入用户数在6 万人左右，远远不满足当前实际预估峰值用户冲击，届时可能直接导致无线无法连接或者用户体验较差。因此，在本次设计中采用了目前业内较先进的有线无线一体化设计方案，以期实现认证模式下最大可接入用户数在10万人左右，充分保障整个体育中心的峰值用户接入能力。

核心交换机、汇聚交换机采用业界领先的CLOS 架构的框式交换机，部署双机物理集群，主备备份，保障网络核心的高可靠。汇聚到核心采用上行双链路捆绑设计。其中汇聚层交换机分别采用双40G 链路上行到核心层交换机，当主用链路中断后，迅速切换到备用链路的核心交换机，并上行出口到Internet。

汇聚层交换机作为业务网的三层网关和认证网关，在各业务系统中均属于关键节点，因此对其性能及可靠性均有更高要求，本次设计中，汇聚层设备采用框式设备、CSS 物理集群技术，提供独立双主控、业务插槽以及冗余电源，不仅增强性能转发能力，也提升了汇聚层的设备可靠性，并针对用户终端支持多种接入认证(包括PPPoe、802.1X 等方式)，下发控制策略，增强业务系统的准入管控力度，提升整体网络安全接入相关要求。

汇聚层向上到核心层，通过路由进行数据的交换转发。网络的“汇聚－接入－AP”部署纵向虚拟化技术，把多台汇聚、接入层交换机和AP 虚拟成一台逻辑设备进行管理，统一运维。表3 为Wi-Fi 网系统设备分布情况。

Wi-Fi 网系统设备分布表表3

4.3 无线AP 接入

随着IEEE 802.11ax 标准的正式推出，支持802.11ax 协议标准的无线AP 带宽超过10G，而当前1Gbps 千兆接入以太网交换机已无法满足无线AP 的高带宽要求，亟需提升无线网络的接入端口速率。表4 为Wi-Fi 通讯协议对比情况。

Wi-Fi 通讯协议对比表表4

由于本次Wi-Fi 网的无线AP 采用最新的802.11ax 标准，故无线网络的接入层交换机应当具备多速率的带宽接入能力，即接入交换机能够支持1G/2.5G/5G/10G 的多速率端口扩展，才能充分满足无线AP 的上行带宽出口要求。

由于接入电口的带宽和速率的提升，对传输介质网线也提出了更高的要求。表5 为传输线缆选型情况。

传输线缆选型表表5

由表5 可知，目前业界主流的多速率电口接入交换机支持的线缆，要求2.5G 电口至少是Cat5E STP 线缆，5G 电口至少是Cat6 STP 线缆。本次无线Wi-Fi 网络统一部署Cat6 STP 线缆，满足802.11ax 标准AP 的要求。

4.4 大数据安全整体方案

Wi-Fi 系统作为体育中心承载赛事活动时，工作人员的高频度接入、使用的无线Wi-Fi 网络，同时接入Internet，为了能快速识别网络中潜在的安全威胁，并通过拓扑和列表等多种方式，将安全态势直观的展现给网络管理员，并轻松方便的掌握所有资产的安全情况，应当具备基于传统网络安全特性的增强安全方案。

通过大数据采集技术，采集并处理网络报文的流数据，以及网络设备、安全设备的传统网络安全特性运行记录的日志信息，通过关联数据分析技术提取出安全威胁事件信息，最终在网络系统统一展现全网的安全态势，并自动或手动对安全威胁事件做安全响应。方案架构如图3 所示。

图3 大数据安全整体方案架构图

大数据安全整体方案的优势在于:(1)感知全网安全态势，有助于客户直观理解全网安全态势，并可以根据区域、关键资产去查看对应的风险，并给出处理建议；同时，运维人员可以快速找到自己负责的区域和资产，并根据安全状态和处理建议对这些设备进行系统升级、安装补丁等安全加固的工作。 (2)快速发现安全事件，基于强大的日志采集和关联分析技术，以及可覆盖网络常见安全威胁，帮助客户实时快速发现网络中的安全威胁事件。(3)快速进行安全响应，通过告警手段第一时间通知运维人员安全威胁事件，并可以进行自动的安全策略联动，对安全威胁进行控制，防止和降低其对网络和业务的影响。